Discord verschiebt weltweite Altersprüfung: Die Hintergründe
Genau wie Reddit oder Roblox steht auch Discord unter wachsendem regulatorischem Druck, Minderjährige besser vor Inhalten für Erwachsene zu schützen.
In Großbritannien und Australien wurden bereits entsprechende Gesetze verabschiedet. Der britische Online Safety Act und der australische Online Safety Amendment Act untersagen Personen unter 16 Jahren den Zugang zu sozialen Medien. Um diesen Vorgaben zu entsprechen — und ähnlichen Gesetzen in der EU und den USA zuvorzukommen —, wollte Discord sein Programm zur Altersverifikation weltweit ausweiten.
Am 9. Februar gab Discord bekannt, dass „alle neuen und bestehenden Konten weltweit eine altersgerechte Umgebung erhalten, inklusive aktualisierter Privatsphäre-Einstellungen, eingeschränktem Zugriff auf Ü18-Bereiche und Inhaltsfiltern, die den Kern von Discord bewahren sollen.“
Die Wortwahl löste jedoch alles andere als Begeisterung aus.
Viele interpretierten die Ankündigung so, dass alle Profile standardmäßig auf eine eingeschränkte „Teen-Version“ herabgestuft würden — es sei denn, man verifiziert das Alter per Gesichtsscan oder durch das Hochladen eines amtlichen Ausweises. In Foren, sozialen Netzwerken und auf YouTube verbreitete sich die Nachricht wie ein Lauffeuer und schlug schnell in Panik um.
Discord stellte später zwar klar, dass die „große Mehrheit der Personen Discord genau wie bisher weiternutzen kann, ohne jemals zur Bestätigung des Alters aufgefordert zu werden“. Doch zu diesem Zeitpunkt war der Schaden bereits angerichtet: Der Gegenwind hatte sich längst zu einer handfesten Vertrauenskrise ausgewachsen.
Discord bricht das Versprechen der lokalen Datenverarbeitung
In der gesamten Ankündigung legte Discord großen Wert auf den Schutz der Privatsphäre. Als zentrales Merkmal wurde die „On-Device-Verarbeitung“ hervorgehoben. Das Unternehmen betonte ausdrücklich, dass Video-Selfies für die Altersschätzung „das Gerät niemals verlassen“.
Auffallend war jedoch, dass eine vergleichbar eindeutige Zusage für die Verifikation per Ausweisdokument fehlte.
Bei vielen entstand dennoch der Gesamteindruck, dass sensible persönliche Daten lokal bleiben würden — also direkt auf dem eigenen Gerät verarbeitet und niemals an Dritte übermittelt werden. Diese Zusicherung sollte eigentlich bestehende Datenschutzbedenken entkräften.
Stattdessen bewirkte sie genau das Gegenteil.
Eine ältere Version der Support-Seite von Discord (die mittlerweile nur noch über das Web-Archiv abrufbar ist) enthüllte brisante Details: Demnach könnten Personen im Vereinigten Königreich „Teil eines Experiments“ sein, bei dem der Dienstleister Persona zur Altersverifikation eingesetzt wird.
In dem entsprechenden Hinweis hieß es:
„Wichtig: Wenn Sie sich im Vereinigten Königreich befinden, nehmen Sie möglicherweise an einem Testlauf teil, bei dem Ihre Daten durch den Drittanbieter Persona verarbeitet werden. Die übermittelten Informationen werden vorübergehend für bis zu sieben Tage gespeichert und anschließend gelöscht. Bei der Verifikation per Ausweis werden alle Details außer dem Foto und dem Geburtsdatum unkenntlich gemacht, sodass nur die für die Altersprüfung absolut notwendigen Daten verwendet werden.“
Persona ist ein cloudbasierter Identitätsprüfdienst. Definitionsgemäß bedeutet dies, dass Daten an externe Server übermittelt und dort verarbeitet werden — eine rein lokale Auswertung auf dem eigenen Gerät ist damit ausgeschlossen.
Zwar widersprach dieses Eingeständnis nicht direkt der vorherigen Kommunikation von Discord — schließlich hatte das Unternehmen nie explizit versprochen, dass sämtliche Verfahren zur Altersprüfung lokal ablaufen würden — doch eines wurde unmissverständlich klar: Das System war keineswegs rein lokal auf dem Endgerät angesiedelt. Selbst wenn sich dieser Umstand nur auf einen Testlauf im Vereinigten Königreich beschränkte, entstand der Eindruck, dass Discord nur die halbe Wahrheit gesagt oder zumindest extrem mangelhaft kommuniziert hatte.
Die Sorgen verschärften sich, als die allgemeinen Datenpraktiken von Persona genauer unter die Lupe genommen wurden. Bei der Analyse der Datenschutzrichtlinien stießen Beobachtende auf Hinweise zu Abgleichen mit „Datenbanken Dritter, Behördenregistern und anderen öffentlich zugänglichen Quellen“.
Rick Song, CEO von Persona, erklärte gegenüber Ars Technica später, dass Daten von verifizierten Personen aus dem Discord-Testlauf umgehend gelöscht worden seien. Doch die Tatsache, dass eine Speicherung von bis zu sieben Tagen überhaupt möglich war, verstärkte in Verbindung mit dem externen Verarbeitungsmodell die bestehende Skepsis nur noch weiter.
Die Lage verschlechterte sich zusätzlich, als Berichte bekannt wurden, wonach ein Frontend von Persona offenlag, was potenziell unbefugten Zugriff auf sensible Verifikationsdaten ermöglichte. Laut Malwarebytes rührte die Sicherheitslücke von einer falsch konfigurierten Web-Komponente her. Dadurch waren interne Ressourcen über das Internet erreichbar, bevor sie gesichert werden konnten. Auch wenn es im Fall von Discord keine bestätigten Beweise für einen Missbrauch gab, verstärkte der Zeitpunkt dieser Meldung das öffentliche Misstrauen massiv.
Kritische Stimmen verwiesen unterdessen auf einen weitaus schwerwiegenderen Vorfall: Ein Datenleck am 20. September, bei dem Angreifer Zugriff auf Informationen eines externen Kundenservice-Dienstleisters von Discord erhielten. Zu den kompromittierten Daten gehörten Kopien von Ausweisdokumenten, die eingereicht worden waren, um gegen abgelehnte Altersprüfungen Einspruch zu erheben. Zudem waren Benutzernamen, E-Mails, IP-Adressen und Support-Nachrichten betroffen.
Für viele Beobachtende bestätigte dieser Vorfall die schlimmsten Befürchtungen: Selbst wenn Ausweisprüfungen als einmalige Angelegenheit geplant sind, erhöht die Notwendigkeit, sensible Dokumente in Problemfällen erneut einzureichen, das Risiko eines echten Datenmissbrauchs dramatisch.
Obwohl die Hinweise auf Persona um den 15. Februar herum stillschweigend entfernt wurden — wie The Verge anmerkte —, war der Imageschaden bereits angerichtet. Allein die Tatsache, dass diese Partnerschaft existierte, widersprach für viele dem Kernversprechen von Discord, die Privatsphäre an erste Stelle zu setzen.
Entschuldigungen und späte Aufklärung: Reicht das aus?
Angesichts des massiven Gegenwinds veröffentlichte Discords CEO Stanislav Vishnevskiy am 24. Februar einen ausführlichen Beitrag, um die Gemüter zu beruhigen.
Darin bekräftigte er, dass sich für etwa 90% der Konten absolut nichts ändern werde. Die meisten Personen würden weder auf altersbeschränkte Inhalte zugreifen noch die standardmäßigen Sicherheitseinstellungen ändern.
Vishnevskiy gab zudem preis, dass Discord bereits ein internes System nutzt, um das Alter basierend auf verschiedenen Signalen auf Kontoebene zu schätzen:
„Die Altersbestimmung funktioniert weiterhin über dieselben Kategorien von Signalen auf Kontoebene: Wie lange das Profil bereits besteht, ob eine Zahlungsmethode hinterlegt ist, in welchen Arten von Servern man aktiv ist und allgemeine Aktivitätsmuster. Es werden keine Nachrichten gelesen, Gespräche analysiert oder gepostete Inhalte gesichtet.“
Er räumte ein, dass ein bloßes „Vertraut uns“ nicht ausreiche. Er versprach, vor dem weltweiten Start einen technischen Blogbeitrag zu veröffentlichen, der die Methodik im Detail erklärt.
Bezüglich der Partnerschaft mit Persona bestätigte Vishnevskiy, dass es sich um einen begrenzten Test im Vereinigten Königreich handelte. Er stellte klar, dass Discord den Dienst nicht mehr nutzt, da dieser „die Anforderungen an eine vollständig gerätebasierte Verarbeitung nicht erfüllte“.
Es bleibt die Frage, ob diese Klarstellungen zu spät kamen — oder ob sie überhaupt ausreichen, um das Vertrauen wiederherzustellen.
Fazit
Die Altersverifikation gehört heute zu den umstrittensten Themen für Online-Plattformen. Während Regulierungsbehörden darin eine notwendige Schutzmaßnahme für Minderjährige sehen, befürchten viele eine schleichende Entwicklung hin zur totalen Überwachung.
Selbst wenn Altersprüfungen unter dem Aspekt des Datenschutzes implementiert werden, bringen sie unweigerlich neue Risiken mit sich. Es entstehen zusätzliche Datenströme und mehr Unternehmen erhalten Zugriff auf sensible Informationen. Jeder externe Dienstleister wird so zu einer weiteren möglichen Schwachstelle im System.
Der Fall Discord verdeutlicht ein grundlegendes Spannungsfeld: Plattformen versuchen, immer strengere gesetzliche Vorgaben zu erfüllen, ohne dabei datenschutzbewusste Personen zu vergraulen. Doch bei diesem Drahtseilakt riskieren sie genau das Vertrauen zu verspielen, das ihren Erfolg erst ermöglicht hat.
Ob die Verzögerung beim weltweiten Rollout zeigt, dass Discord aus den Fehlern gelernt hat — oder ob es nur die Ruhe vor dem nächsten Aufschrei ist — wird davon abhängen, wie transparent und vorsichtig das Unternehmen bei den nächsten Schritten vorgeht.
